文章目录
当对应用程序进行模糊测试或扫描时,会常常遇到一些问题:
- 应用程序会因为防守或其它原因终止了进行测试的会话,并且其余的测试连续也是无效的了。
- 有些应用程序改变每个请求必须提供的节点(例如,来阻止请求欺骗攻击)。
- 有些功能在测试这个请求之前,需要一系列的请求,才能让应用程序进入一个接收测试请求的合适状态。
- 当你进行手动测试时,所有的这些问题都能产生,并且手动解决这些问题常常显得无聊, 这会降低你对下面测试的欲望。
Burp 包含了一系列的功能来帮你解决这些情况,让你继续你的手动的和自动的测试, Burp 会在后台照看这些问题。所有的会话相关的配置都可以在主选项卡里的会话选项卡里找到。
一、会话处理规则(Session handling rules)
Burp 定义了一个会话处理规则列表,完全控制着 Burp 怎样来处理应用程序的会话处理机制和相关的功能。在主选项卡里的会话选项卡来配置这些规则:
每个规则包含了一个范围(规则应用的对象)和操作(规则做什么)。依据规则来处理请求,并且按顺序执行每个规则的动作(除非条件检查操作确定该请求不需要进一步的处理)。
(一)、范围—规则应用的对象(根据处理请求的以下特征而设定的):
- 处理请求的 Burp 工具。
- 请求的 URL。
- 请求里的参数名。
(二)、每个规则执行的一个或多个动作。实施以下动作:
- 添加会话处理 cookie 容器中的 cookie。
- 设置一个特定的 cookie 或参数值。